OpenVPN-Paket

[kriegaex]

Da suchst Du evtl. am falschen Platz. OpenVPN ist Standard-Software, nicht ds-mod-dpezifisch, google doch mal. Ansonsten wird im OpenVPN-Thread viel über Konfigurationsvarianten geredet, deshalb schiebe ich Deinen Beitrag und meine Antwort auch gleich mal dorthin.

 

[knox]

Habe hier schon etliche Themen durchgesucht aber nix gefunden.
Suche ein gutes How to wie ich an der Fritzbox eine Openvpn Verbindung mit 1 oder mehreren Client erstelle von einem Windows XP Rechner der als Client und die Fritzbox als Server fungiert.

Offensichtlich hast Du nicht richtig gesucht. Schau doch bitte mal ins Wiki, dort gibt es zwei Artikel, die eigentlich alle Fragen beantworten sollten: hier und hier.

 

[Bratwurst0815]

Hallo,

ich will aus meinem W701V mit DS-Mod einen VPN server machen und habe nun einige Fragen, Zertifikate sind erstellt und per bin ftp hochgeladen, auf ar7.cfg und openvpn-lzo.conf habe ich per vi zugriff.

1. Bei einem reboot sind die Zertifikate wieder weg, was muss ich machen, damit sie dauerhaft gespeichert werden?
2. Was muss ich per hand in die openvpn-lzo einpflegen, nur die Zertifikate, den Rest über die Weboberfläche?
3. Meine Einstellungen in der ar7 werden nicht gespeichert.
Ich habe folgendes gemacht:
cat /var/flash/ar7.cfg > /var/tmp/ar7.cfg
vi /var/tmp/ar7.cfg

"udp 0.0.0.0:1194 0.0.0.0:1194", eingefügt und mit ESC :w gespeichert und mit ESC:q verlassen

cp /var/tmp/ar7.cfg /var/flash/ar7.cfg
reboot

BTW: Warum habe ich jetzt 2 ar7?
/etc/default.Fritz_Box_SpeedportW701V/avm/ar7.cfg
/var/flash/ar7.cfg

Danke

 

[MaxMuster]

1. (unnötig, siehe 2., aber zur Vollständigkeit) Dateien nach /var/tmp/flash kopieren und "modsave" aufrufen

2. Eigentlich garnichts. Alles, auch Keys/Zertifiakte werden über die GUI eingegeben

3. Der Fehler war beim "cp" statt "cat": Mache zum Zurückschreiben "cat /tmp/ar7.cfg > /var/flash/ar7.cfg"

BTW: Du hast "schon immer" zwei ar7.cfg's gehabt, die eine enthält die defaults, die die Box z.B. nach dem Werksreset lädt.

Jörg

 

[Bratwurst0815]

Danke,

ich habe nach http://www.ip-phone-forum.de/showthread.php?p=531364#post531364 die Zertifikate erstellt, aber ich sehe wirklich nicht, wie ich die über die GUI einbinden kann ??

 

[knox]

...Zertifikate erstellt, aber ich sehe wirklich nicht, wie ich die über die GUI einbinden kann ??

Im ds-mod Webinterface unter "Einstellungen" gibt es eine Reihe von Menupunkten, u.a. "Box Cert", "Box Key" und andere. Eigentlich ganz leicht zu finden...

 

[Bratwurst0815]

Wer soll das denn finden
thx

 

[MaxMuster]

Hat jemand gesagt, du sollst das finden ;-) ???

Ich werde mich bei Gelegenheit vielleich doch mal durchringen können, das Wiki etwas zu ergänzen und das mit aufnehmen (sofern ich nicht doch noch eine Möglichkeit finde, ds-mod Dateien vom "file-typ" direkt in die openvpn-GUI zu verfrachten und aus "Einstellungen" zu entfernen)

Jörg

 

[MaxMuster]

Und mal wieder eine "neue" Version. Leichte Änderungen in der Config (z.B. Ausblenden der Server-Cert-Einstellungen bei "Static Keys") und Integration des "undokumentierten Features" beim Routing mehrere Netze mit Semikolon getrennt angeben zu können.
Für die Betrachtung im Internet-Explorer wurden die "<small>" Einträge noch mit einer Größe versehen, so dass es keine Umbrüche gibt.

Dazu noch die erste "Alpha-Version" einer Doku dazu.

Rückmeldungen sind wie immer gerne gesehen.

Jörg

EDIT Paket selbst entfernt. Bitte die Version von knox nehmen.

 

[knox]

Wenn es eine neue Version ist, dann bitte den Paketnamen weiterzählen, um Verwechslung zu vermedien. Wir sind also theoretisch inzwischen mindestens bei 0.6g und könnten es auch ruhig 0.7 nennen ;-)

Edit: außerdem hast Du noch ein openvpn Binary mit drin, das sollte eigentlich nicht sein. Ich werde das jetzt als 0.7 ins SVN einchecken und ein umbenanntes, bereinigtes Paket bereit stellen.

Edit2:openvpn-2.1_rc4-dsmod-0.7.tar.bz2

 

[MaxMuster]

Danke und ich werde es demnächst beherzigen ...

Jörg

EDIT Habe jetzt noch ein paar Infos im Wiki dazugeschrieben und Screenshots eingefügt.

 

[babylon05]

re

Bin mal nach dem PDF hier gegangen was ja sehr gut ist nur bekomme von meinem Openvpn Windows XP clienten immer im Log folgenden Fehler, weiß auch nicht was das ist.

Sat Nov 03 17:14:15 2007 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Nov 03 17:14:15 2007 TLS Error: TLS handshake failed
Sat Nov 03 17:14:15 2007 SIGUSR1[soft,tls-error] received, process restarting
Sat Nov 03 17:14:18 2007 UDPv4 link local (bound): [undef]:1194

mfg babylon05

:noidea:

 

[MaxMuster]

Da fehlt noch einiges an Information...
Wie ist denn die Verbindung zur Box? "Intern" über das LAN oder von "draussen" über eine Dynamische DNS Adresse? Falls das letztere: Wie ist die Freigabe erfolgt? Per "udp 0.0.0.0:1194 0.0.0.0:1194" in der ar7.cfg?

Bitte poste doch die Client-Config und die erzeugte OpenVPN-Config der Box (am einfachsten in der Rudi-Shell "cat cat /mod/etc/openvpn*.conf" ausführen.

Jörg

 

[babylon05]

Moinsen

Ja ich versuche es von draußen über mein Notebook und Modem mich als client auf meiner Fritzbox mit ds-mod 15.2 inkl. Openvpn und Virtuell IP ein zu tunneln.

Desweiteren habe ich schon in der ar7.cfg die sache schon mit der Portweiterleitung gändert.

Hier mal meine Conf die du haben wolltest.

Fritzbox 7170 als Server

# OpenVPN 2.1 Config
proto udp
port 1194
dev tap
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
tls-auth /tmp/flash/static.key 0
ifconfig-pool 192.168.200.4 192.168.200.251
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
push "route 192.168.178.0 255.255.255.0"
max-clients 5
tun-mtu 1500
mssfix

daemon
verb 3

cipher AES-256-CBC
comp-lzo
keepalive 10 120
status /var/log/openvpn.log

Client Windows PC mit XP

# OpenVPN v2.0.5 config:
#
# Grundsätzliches (Was soll der CLIENT nutzen)
port 1194
proto udp
dev tap
# Client-Einstellungen
tls-client
ns-cert-type server
remote dyndns.ath.cx 1194
# Authentifizierung und Verschlüsselung
ca ca.crt
cert client01.crt
key client01.key
auth SHA1
cipher AES-256-CBC
# Sonstiges
pull

 

[knox]

Hier mal meine Conf

Ich glaube, auf der Clientseite fehlt Dir noch sowas:

tls-auth static.key 1

 

[MaxMuster]

.. und dann fehlt dort beim Client auch noch "comp-lzo".

Jörg

 

[babylon05]

So habe mal die client config angepasst

wenn ich tls-auth static.key 0 mache kommt das

Sun Nov 04 21:21:00 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sun Nov 04 21:21:00 2007 Control Channel Authentication: using 'static.key' as a OpenVPN static key file
Sun Nov 04 21:21:00 2007 LZO compression initialized
Sun Nov 04 21:21:00 2007 UDPv4 link local (bound): [undef]:1194
Sun Nov 04 21:21:00 2007 UDPv4 link remote: 88.72.168.50:1194
Sun Nov 04 21:22:01 2007 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Nov 04 21:22:01 2007 TLS Error: TLS handshake failed
Sun Nov 04 21:22:01 2007 SIGUSR1[soft,tls-error] received, process restarting
Sun Nov 04 21:22:03 2007 Control Channel Authentication: using 'static.key' as a OpenVPN static key file
Sun Nov 04 21:22:03 2007 LZO compression initialized
Sun Nov 04 21:22:04 2007 UDPv4 link local (bound): [undef]:1194
Sun Nov 04 21:22:04 2007 UDPv4 link remote: 88.72.168.50:1194
Sun Nov 04 21:22:21 2007 SIGTERM[hard,] received, process exiting

und wenn ich tls-auth static.key 1 mache kommt

Sun Nov 04 21:25:14 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sun Nov 04 21:25:14 2007 Control Channel Authentication: using 'static.key' as a OpenVPN static key file
Sun Nov 04 21:25:14 2007 LZO compression initialized
Sun Nov 04 21:25:14 2007 UDPv4 link local (bound): [undef]:1194
Sun Nov 04 21:25:14 2007 UDPv4 link remote: 88.72.168.50:1194
Sun Nov 04 21:25:15 2007 TCP/UDP: Incoming packet rejected from 88.72.168.50:61001[2], expected peer address: 88.72.168.50:1194 (allow this incoming source address/port by removing --remote or adding --float)
Sun Nov 04 21:25:16 2007 TCP/UDP: Incoming packet rejected from 88.72.168.50:61001[2], expected peer address: 88.72.168.50:1194 (allow this incoming source address/port by removing --remote or adding --float)
Sun Nov 04 21:25:18 2007 TCP/UDP: Incoming packet rejected from 88.72.168.50:61001[2], expected peer address: 88.72.168.50:1194 (allow this incoming source address/port by removing --remote or adding --float)
Sun Nov 04 21:25:19 2007 TCP/UDP: Incoming packet rejected from 88.72.168.50:61001[2], expected peer address: 88.72.168.50:1194 (allow this incoming source address/port by removing --remote or adding --float)
Sun Nov 04 21:25:20 2007 TCP/UDP: Incoming packet rejected from 88.72.168.50:61001[2], expected peer address: 88.72.168.50:1194 (allow this incoming source address/port by removing --remote or adding --float)
Sun Nov 04 21:25:22 2007 TCP/UDP: Incoming packet rejected from 88.72.168.50:61001[2], expected peer address: 88.72.168.50:1194 (allow this incoming source address/port by removing --remote or adding --float)
Sun Nov 04 21:25:23 2007 TCP/UDP: Incoming packet rejected from 88.72.168.50:61001[2], expected peer address: 88.72.168.50:1194 (allow this incoming source address/port by removing --remote or adding --float)
Sun Nov 04 21:25:23 2007 SIGTERM[hard,] received, process exiting

hier noch mal die client conf

# OpenVPN v2.0.5 config:
#
# Grundsätzliches (Was soll der CLIENT nutzen)
port 1194
proto udp
dev tap
# Client-Einstellungen
tls-client
tls-auth static.key 1
ns-cert-type server
remote xxx.xxx.xxx.xxx 1194
# Authentifizierung und Verschlüsselung
comp-lzo
ca ca.crt
cert client01.crt
key client01.key
auth SHA1
cipher AES-256-CBC
# Sonstiges
pull

:noidea:

 

[MaxMuster]

Nimm mal den "port 1194" Parameter raus. Der ist bei einem Client eh überflüssig (Wie du siehst, will der Server auf Port 61001 antworten, was wegen deines Eintrags verworfen wird).
Die Keys (static.key) sind auf beiden Seiten sicher identisch? Auf jeden Fall ist für tls-auth "0" und "1" richtig, zweimal der gleiche Wert ist falsch (das hatte knox ja auch schon so geschrieben, dass du "1" nehmen sollst!)

The direction parameter should always be complementary on either side of the connection, i.e. one side should use "0" and the other should use "1", or both sides should omit it altogether.

Für weitere "Experimente", wenn es nicht klappt, versuche es mal ohne "tls-auth" und starte mal mit "verb 6" (das Ergebnis bitte zwischen [noparse]

 und

[/noparse] und nicht mit [noparse]

und

[/noparse], sonst wird es zu lang)

Jörg

 

[knox]

Ich wollte noch mal freundlichst darauf hinweisen, dass es hier um das OpenVPN ds-mod Package geht - es handelt sich allerdings keinesfalls um einen allgemeinen OpenVPN Support Thread und ich finde es wirklich sehr anstrengend, wenn manche Leute offensichtlich die OpenVPN Dokumentation nicht lesen, aber selbst bei komplexeren Anforderungen ein Lösung "zum Klicken" erwarten und sich dann hier jeden Millimeter vorkauen lassen *grummel*

Zur Sache - die oben gezeigte Fehlermeldung beeinhaltet im übrigen bereits die Antwort:

Sun Nov 04 21:25:15 2007 TCP/UDP: Incoming packet rejected from 88.72.168.50:61001[2], expected peer address: 88.72.168.50:1194 (allow this incoming source address/port by removing --remote or adding --float)

In der Client Config lass mal die Port Angabe in der remote Zeile weg, also nur den Hostnamen des Servers angeben. (Der Port wird in Deiner Config übrigens doppelt angegeben und obendrein handelt es sich um den Standard Port, so dass Du es auch ganz weglassen könntest).
Falls das alles nichts hilft (weiss der Henker warum, frag doch mal auf der OpenVPN Mailingliste...), dann kannst Du auch noch auf Client Seite die Option float einfügen, wie es ja auch schon in der "Fehlermeldung" steht.

 

[MaxMuster]

Ich habe gestern den Wiki-Eintrag noch etwas ergänzt. Falls da mal jemand drüberschauen wollte, um die gröbsten Fehler rauszuwerfen ;-)

Jörg